San José explicó que DORA es “un reglamento (en estado de borrador), un marco de resiliencia digital, resultado del trabajo realizado por la Unión Europea, que además pretende lograr un "alineamiento normativo", aglutinando diferentes normas y regulaciones (como EBA, EIOPA, PSD2, Solvencia, etc.).
Según aclaró, DORA afecta a entidades financieras e incluye a los intermediarios de seguros, entidades de dinero electrónico, proveedores de servicios ITC, proveedores de cloud, de servicios digitales, auditores legales, sociedades de gestión, agencias de calificación... y alcanza la gestión del riesgo TIC, incidentes y notificaciones de los mismos, pruebas de resiliencia operativa digital, riesgos de terceros e intercambio de información entre entidades financieras.
El reglamento introduce la petición expresa de análisis y control exhaustivo de proveedores y su cumplimiento normativo, y la revisión periódica de riesgos por externalizaciones. En cuanto a la gestión de incidentes, también aporta el análisis de la causa, la presentación de notificaciones e informes en un centro unificado y plantillas normalizadas para la comunicación de los mismos. Está previsto que el actual borrador de DORA, tras el proceso de aprobación y publicación oficial, entre en vigor en mayo de 2022 y tenga una aplicación total un año después.
Para Julio San José, “el caballo de batalla de DORA va a estar en la gestión de riesgos TIC de terceros, cuando éstos sean proveedores críticos, puesto que (casi) todos son transnacionales y (casi) ninguno de ellos es europeo. DORA viene a tratar de garantizar que estos proveedores sean objeto de un seguimiento adecuado y supervisión desde Europa”.
El webinar continuó con la mesa redonda moderada por Vicente Moret Millás, Letrado de las Cortes Generales (Congreso de los Diputados) y Of Counsel de Andersen, quien aclaró el ámbito de implementación de DORA, Carmen Moreno, Cybersecurity, IT RISK & BCP de Banca March, Pablo Montoliu, Chief Information & Innovation Officer de Aon, Julián Inza, Experto independiente de la Comisión Europea en blockchain, auditoría, PDS2, EIDAS, MICA, DORA y el EU Digital Financial Package y Silvia Senabre, Experta en Tecnologías de la Información de la Dirección General de Supervisión del Banco de España) quién habló de los plazos, y de la exención de las Administraciones Públicas; “ni siquiera el Banco de España, que tiene otra regulación. Somos vigilantes de su aplicación”.
Para los ponentes, DORA, como regulación integradora de otras regulaciones ya existentes, es muy importante, va a tener un gran impacto en el sector financiero y será disruptiva por la gran novedad de ese régimen de vigilancia de proveedores externos que aporta. También lo es por su régimen sancionador y porque supondrá una guía clara o un mapa completo de un modelo de resiliencia (aspectos de gobernanza, comunicación, suministradores, etc.) que otras directivas no dejaban tan claro (por ejemplo, la directiva NIS).
Se trata de la regulación que los profesionales del sector necesitaban para tener un sistema financiero moderno y el marco de vigilancia de proveedores de referencia internacional. La UE ha empezado a imponer estas obligaciones en el sector financiero, que es el más preparado, pero en opinión de los expertos, estos cumplimientos se irán extendiendo a otros sectores estratégicos (energía, telecomunicaciones, salud, etc.).
Fuente de la noticia: ElDerecho.com